Sterownik bezpieczeństwa – czym różni się od zwykłego sterownika PLC?
W starszym wydaniu normy PN-EN 60204-1 z roku 2001 był podrozdział 11.3.4, który mówił o tym, że programowalne wyposażenie elektroniczne nie powinno być zastosowane do realizacji funkcji zatrzymania awaryjnego kategorii 0. Ponadto wg wymagań tej edycji normy, do realizacji wszystkich innych funkcji zatrzymania wiążących się z bezpieczeństwem, zalecane jest zastosowanie oprzewodowanych na stałe elektromechanicznych części składowych. Ówczesne wymagania nie zalecały, aby funkcja bezpieczeństwa była zależna od działania elektromechanicznego wyposażenia programowalnego. Nie wykluczało to zastosowania programowalnego wyposażenia elektronicznego do monitorowania, testowania lub rezerwowego realizowania takich funkcji, jednak to wyposażenie nie mogło uniemożliwiać prawidłowego działania takich funkcji. Zastosowanie standardowego sterownika PLC w realizacji funkcji bezpieczeństwa było ograniczone, ale potrzeba programowalnego zapewnienia tej funkcjonalności została zauważona i opracowywano nową koncepcję, w której miałby być użyty tzw. sterownik bezpieczeństwa.
Powiązany temat: Sterownik PLC w realizacji funkcji bezpieczeństwa
Kiedy programowalne wyposażenie ochronne mogło uniemożliwiać prawidłowe działanie funkcji bezpieczeństwa?
Wyobraźmy sobie układ, jak z rysunku poniżej. W takim układzie istnieje możliwość łatwego (i niebezpiecznego) zaprogramowania takiego sterownika w taki sposób, aby przycisk zatrzymania awaryjnego –S3 służył nie do zatrzymania silnika –M1 w kategorii zatrzymania 0 (lub STO), a do jego włączenia. Tradycyjne sterowniki PLC nie posiadają certyfikowanej funkcjonalności polegającej na zapewnieniu nienaruszalności bezpieczeństwa programu odpowiedzialnego za część sterowania związaną z bezpieczeństwem. Ich architektura również nie jest odporna na błędy, przez co nie nadają się do zastosowań w systemach sterowania związanych z bezpieczeństwem.
W normie PN-EN 602014-1 z 2001 roku pozostawiono jedną uwagę, która miała sygnalizować o postępach w dziedzinie bezpieczeństwa w programowalnych systemach sterowania. W ówczesnym poziomie wiedzy techniki obowiązywało przekonanie, że jeśli może wystąpić zagrożenie na skutek błędnego działania układu sterowania, trudno jest stwierdzić – z jakimkolwiek stopniem pewności – że można mieć zaufanie do prawidłowego działania pojedynczego kanału programowalnego wyposażenia elektronicznego. Norma pozostawiała tą kwestę nierozstrzygniętą, ale dała do zrozumienia, że prace badawcze trwają (jak się dziś okazało – z dobrym skutkiem). Jednak dopóki nie zostały zatwierdzone wszelkie badania, tamta edycja normy nie dopuszczała polegania wyłącznie na prawidłowej pracy jednokanałowego urządzenia podłączonego do programowalnego układu sterowania, niespełniającego warunków bezpieczeństwa, które były w tym czasie opracowywane i oczekiwały na wyniki dopuszczające.
Wg PN-EN ISO 13849-1 sterowniki PLC bez parametrów bezpieczeństwa określonych przez producenta, mogą być stosowane pod warunkiem następujących alternatyw:
- element systemu sterowania związany z bezpieczeństwem jest ograniczony do PL a lub b i stosuje kategorię B, 2 lub 3;
- element systemu sterowania związany z bezpieczeństwem jest ograniczony do PL c lub d i może zawierać zwielokrotnione elementy dla dwóch kanałów w kategorii 2 lub 3. Zastosowane w tych dwóch kanałach elementy oparte są na zróżnicowanych technikach.
Sam sterownik PLC bez parametrów bezpieczeństwa określonych przez producenta nie może być uznany za sprawdzony element i wykorzystanie takiego sterownika jak na rysunku poniżej pozwoli zrealizować funkcję bezpieczeństwa najwyżej w kat. B i PL b.
Niestety przykładów takich jak powyżej można znaleźć wiele, nawet w przypadku, gdy wymagana jest naprawdę wysoka kategoria bezpieczeństwa. Nie trzeba mieć jakichś specjalnych uprawnień, aby projektować systemy sterowania, w tym systemy sterowania odpowiedzialne za bezpieczeństwo. A szkoda, bo do tego, aby zrobić to zgodnie z wymaganiami dyrektywy maszynowej i z normami zharmonizowanymi potrzeba wiele lat doświadczeń.
Tradycyjne elementy sterowania związane z bezpieczeństwem wymagały użycia komponentów elektromechanicznych z użyciem oprzewodowania. Jednak użycie standardowego sterownika PLC do kontrolowania elementów sterowania odpowiedzialnych za bezpieczeństwo było jak najbardziej możliwe i stosowano je z powodzeniem. Aplikacje bezpieczeństwa z użyciem standardowych sterowników PLC wykorzystywały dodatkowe wejścia do monitorowania systemu bezpieczeństwa. Zwiększało to możliwości diagnostyczne układu bezpieczeństwa, ale wymagało mimo wszystko zastosowania dodatkowego okablowania oraz czasu na uruchomienie i przetestowanie. Układ bezpieczeństwa tego typu musiał zapewniać współpracę sterownika PLC z częścią sterowania odpowiedzialną za bezpieczeństwo, które nie mogło być od sterownika PLC zależne. Przykład poniżej pokazuje użycie standardowego sterownika PLC do monitorowania obwodu bezpieczeństwa. Układ taki odpowiada warunkom kategorii 3 wg PN-EN 954-1 i kategorii 3 PLd wg PN-EN ISO 13849-1.
W roku 1998 opublikowano pierwszą część siedmioczęściowego międzynarodowego standardu, który zdefiniował wymagania dla programowalnych systemów elektronicznych związanych z bezpieczeństwem. Standard ten jest znany jako IEC 61508 – „Bezpieczeństwo funkcjonalne elektrycznych / elektronicznych / programowalnych elektronicznych systemów związanych z bezpieczeństwem. Siedem części tego standardu wyznaczyło kierunek rozwoju sterowników bezpieczeństwa.
Istnieją 3 podstawowe cechy, jakie odróżniają sterownik bezpieczeństwa od standardowego sterownika PLC.
1. Architektura
Tradycyjny sterownik PLC wyposażony jest (minimum) w:
- jeden mikroprocesor, który wykonuje instrukcje programowe,
- obszar pamięci Flash, który przechowuje program,
- pamięć RAM, która przechowuje aktualne dane,
- porty komunikacyjne,
- wejścia i wyjścia cyfrowe
Sterownik bezpieczeństwa również to ma, ale wyposażony jest w:
- nadmiarowy (redundantny) mikroprocesor,
- Pamięć Flash i RAM, które są stale monitorowane przez obwód watchdoga i synchroniczny obwód detekcyjny.
Sterownik bezpieczeństwa zawiera wiele funkcji diagnostycznych wykrywających wszelkie możliwe usterki wewnętrzne sprzętu lub oprogramowania układowego, tak więc awaria sterownika nie powoduje “niebezpiecznej” sytuacji. Zawiera procedury autodiagnostyczne całego sprzętu i oprogramowania do wykrywania wszelkich niebezpiecznych błędów wewnętrznych.
Sterownik bezpieczeństwa – w przeciwieństwie do zwykłych sterowników PLC – wymaga, aby programista aplikacji bezpieczeństwa skonfigurował rodzaj użytych urządzeń hardware’owych podłączonych do wejść i wyjść bezpiecznych. Tzn. jeśli urządzeniem wejściowym jest przycisk zatrzymania awaryjnego w konfiguracji dwukanałowej i obydwoma stykami NC, programista musi odpowiednio skonfigurować wejścia bezpieczne sterownika tak, aby sterownik mógł kontrolować prawidłowość użytej architektury połączeń oraz prawidłowość działania urządzeń ochronnych.
W sterowniku bezpieczeństwa nienaruszalność programu bezpieczeństwa zapewniona jest za pomocą hasła, sumy kontrolnej oraz daty i czasu kompilacji programu odpowiedzialnego za bezpieczeństwo. Niektóre aplikacje do programowania takich sterowników umożliwiają wydrukowanie raportu z sumą kontrolną programu. Jest to o tyle istotne, że zabezpiecza producenta maszyny przed nieautoryzowanymi zmianami w programie bezpieczeństwa. Nawet jeśli użytkownik zna hasło i dokonał pewnych zmian, spowoduje to wygenerowanie nowej sumy kontrolnej, co pozostawi ślad po takich zmianach. W przypadku gdy taka zmiana spowoduje powstanie szkód, producent może wówczas obronić się przed odpowiedzialnością.
W przypadku elektromechanicznych przekaźników bezpieczeństwa nienaruszalność obwodu bezpieczeństwa nie była zapewniona tak dobrze. Jeśli istniała potrzeba ominięcia urządzenia ochronnego, założenie mostka w połączeniach elektrycznych przekaźnika bezpieczeństwa powodowało, że system bezpieczeństwa mógł nie wykrywać takiej konfiguracji. Jeśli fakt ten stałby się przyczyną nieszczęśliwego wypadku, można było zatrzeć ślady po takich zmianach, ściągając mostek. W przypadku sterownika bezpieczeństwa, oprogramowanie wciąż kontroluje układ połączeń hardware’owych, co sprawia, że założenie mostka zostanie wykryte przez sterownik bezpieczeństwa.
2. Wejścia
Tradycyjny sterownik PLC nie zapewnia wewnętrznych środków do testowania funkcjonalności elementów wejściowych. Natomiast każde bezpieczne wejście sterownika bezpieczeństwa wyposażone jest w wewnętrzny „obwód wyjściowy”, który służy do testowania obwodu wejściowego. Wejścia są testowane krótkimi impulsami, aby zweryfikować funkcjonalność i poprawność działania urządzeń wejściowych.
3. Wyjścia
Rysunek poniżej przedstawia uproszczony schemat cyfrowego wyjścia sterownika ogólnego przeznaczenia. Jeśli tranzystor wyjściowy jest zwarty, mamy niebezpieczną awarię, a przekaźnik nie powraca do stanu spoczynkowego mimo tego, że sterownik PLC nie steruje wyjściem.
Wyjście PLC w standardowym sterowniku PLC jest zarządzane przez jeden mikroprocesor i w takiej architekturze trudno jest oczekiwać, aby wyjście sterownika mogło być użyte do sterowania zaworami lub stycznikami, których działanie ma bezpośredni wpływ na bezpieczeństwo.
Bezpieczne wyjście sterownika bezpieczeństwa wyposażone jest w potrójny układ przełączający. Pierwszy układ jest sterowany za pomocą pierwszego mikroprocesora, drugi układ jest sterowany za pomocą drugiego (redundantnego) mikroprocesora, a trzeci – testowy – odpowiada za obwód diagnostyczny watchdoga. Każde z tych układów przełączających jest stale monitorowane. Jeśli zostanie wykryta awaria jednego z dwóch przełączników bezpieczeństwa z powodu awarii przełącznika lub mikroprocesora, albo w punkcie testowym, system operacyjny sterownika PLC bezpieczeństwa automatycznie potwierdzi awarię systemu i ustawi wyjścia w stan bezpieczny, co pozwoli na wyłączenie zasilania dla urządzenia podłączonego do takiego wyjścia.
Sterownik bezpieczeństwa do wykrywania zwarcia na wyjściu bezpiecznym wykorzystuje procedurę diagnostyczną za pomocą mikro impulsów i statusu wyjścia monitorującego. Dzięki temu może (przynajmniej) wywołać alarm w przypadku zwarcia. W celu wykrycia nieprawidłowości, sterownik bezpieczeństwa wyposażony jest w dwa tranzystory połączone szeregowo, kontrolowane przez obwód monitorujący (watchdog), który porównuje stan obu tranzystorów. W ten sposób uzyskujemy bezpieczny obwód wyjściowy (ang. fail safe), odporny na uszkodzenia z punktu widzenia bezpieczeństwa.
Certyfikacja sterowników bezpieczeństwa
Istnieje kilka organizacji, które wykonują certyfikację sterowników bezpieczeństwa. TÜV z Niemiec, Factory Mutual (FM) ze Stanów Zjednoczonych oraz Health and Safety Executive (HSE) z Wielkiej Brytanii. Chociaż istnieją pewne różnice między standardami rynkowymi, każda z organizacji certyfikujących przyjmuje podejście całościowe. Specyfikacje dla całych systemów kontroli bezpieczeństwa uwzględniają oprogramowanie, sprzęt i systemy operacyjne. Niektóre z tych standardów stanowią dodatkowy krok w dostarczaniu wytycznych do konkretnych zastosowań.
TÜV zazwyczaj testuje produkty zgodnie z normą IEC 61508, która określa integralność bezpieczeństwa Poziomy (SIL) od 1 do 4. Sterowniki bezpieczeństwa nadają się do zastosowań w SIL 2 i SIL 3, gdzie mogą być certyfikowane do użytku w najbardziej powszechnych aplikacjach bezpieczeństwa. SIL 4 odnosi się do zastosowań wykraczających poza standardowe bezpieczeństwo przemysłowe. Poziom SIL 4 określa wymagania bezpieczeństwa dla reaktorów jądrowych, sterowania systemem lotniczym (fly-by-wire), lub dla innych aplikacji, w których awaria byłaby katastrofalna.
Aby sterownik bezpieczeństwa PLC osiągnął poziom nienaruszalności bezpieczeństwa SIL 3, musi on być zdolny wykryć ponad 99% potencjalnych awarii. Niektóre testy wymagane do określenia zakresu diagnostycznego obejmują serię testów, takich jak weryfikacja danych i kontrola przepływu programu. Testy te zapewniają, że sterownik bezpieczeństwa przechowuje krytyczne dane i weryfikuje wewnętrzne funkcje, które sterownik wykonuje. Ponadto sterowniki bezpieczeństwa muszą przejść testy uszkodzenia oprogramowania. Celowo wprowadza się błędy w kodzie oprogramowania, po czym program jest wysyłany do PLC, aby sprawdzić, czy sterownik bezpieczeństwa PLC odpowiada w bezpieczny sposób.
Kiedy zastosować sterownik bezpieczeństwa?
Tradycyjne, elektromechaniczne przekaźniki bezpieczeństwa są wyposażone w stałe okablowanie. Umożliwiają prostą diagnostykę i logikę i sprawdzają się, gdy ilość punktów bezpieczeństwa w aplikacji jest niewielka i ma prostą funkcjonalność. Doskonale nadają się do samodzielnych zastosowań bezpieczeństwa w układach sterowania, gdzie istnieją 2 lub 3 funkcje bezpieczeństwa. Jeśli zaś wzrasta liczba funkcji bezpieczeństwa powyżej 3, opłacalne może okazać się użycie programowalnego sterownika bezpieczeństwa.
Ponadto sterownik bezpieczeństwa dostarcza elastyczności zastosowań. Łatwiejsze i bardziej opłacalne jest rozszerzanie lub zmiana funkcji bezpieczeństwa przy użyciu sterownika bezpieczeństwa, niż ma to miejsce w przypadku elektromechanicznego przekaźnika bezpieczeństwa. Innym kryterium wyboru może okazać się fakt, że użytkownicy maszyn oczekują większej ilości informacji i kontroli nad maszynami. Programowalne rozwiązania zapewniają znacznie szersze informacje diagnostyczne, które można łatwo przesłać do systemów kontroli, przez co wpisują się bardziej w warunki funkcjonowania tzw. inteligentnej fabryki.